助けて！本番DBはSQLインジェクションされました！

UrlScanの最新バージョンを必ずインストールしてください。この種の攻撃に踏み込むように設計されています。

IISログがある場合、エントリポイントはかなり明白であるはずです。ハッカーが攻撃しているログを探します。

別の優れたバックストップは、可能であれば、WebユーザーアカウントへのINSERTおよびUPDATE権限を拒否し、代わりにストアドプロシージャを介してパンチすることです。このようなバックストップにより、これがゼロデイ攻撃であったときに、同様のレガシーアプリで同様の問題が発生するのを防ぐことができました。

PUBLICユーザーがテーブルをスキャンする権利を削除することもできます。これにより、 "foreach table"スタイルの攻撃を防ぐことができます。

参考までに、これはASPRoxボットSQLインジェクション攻撃の成果です。侵害されたシステムが見つかるとかなりバイラルになるため、時々それが表面化するようです。 「ASPRoxボット」を探し回って、いくつかの追加のクレンジング方法とさらなる予防処理を取得できます。私はたまたま発見しました このPDF その戦術の素晴らしい概要といくつかのクリーンアップオプションへのリンクを含むファイル。

問題は、ウイルス/インジェクションモデルが基本的にすべてのデータベーステーブルのすべてのテキストフィールドを取得し、指定されたURLを呼び出す小さなスニペットを挿入して、他のWebクライアントに感染させ、サイトにアクセスするゾンビを作ろうとすることです。 。

したがって、適切なクレンジングを実行するために必要なデータベースを含むデータベースだけでなく、問題のサーバー上のすべてのデータベースを必ず確認してください。

ここでの提案は正しい方向に進んでいるようですが、ウイルス名への「正式な」参照があると、追加のニーズに役立つ場合があります。

まず、それ以上のインジェクション攻撃を防ぐために、サイトをシャットダウンする必要があります。

次に、セキュリティ監査を実行して、現在のログとシステムに設定されているセキュリティを特定し、攻撃者がどのように侵入したかを特定する必要があります。

第3に、少なくとも侵害された領域にロギングとセキュリティを導入する必要があります。ポケットベルなど、すぐに通知する侵入を検出するシステムを導入します。

第4に、ダウンタイムはセキュリティを無視した結果であると経営陣に通知します。

IISログをチェックして、注入に使用されたページを確認します。言うまでもなく、そのページをすばやく修正または無効にする必要があります。

最善の方法は、サイトのタイプによって異なります。可能な場合は、汚染されていないデータベースを復元するか、変更を元に戻す（詳細なログが必要）まで、サイトを停止します。その後、問題を修正する時間があるまで、サイトを読み取り専用モードに戻すことができます。 SQLアカウントをSELECTのみに制限するだけです。

クエリ文字列を連結する場合でも、少しの労力でかなり安全にすることができます。すべてのASPファイルでSELECTやUPDATEなどのキーワードを検索すると、すべてのクエリが表示されます。すべてのパラメーターを基本的な健全性チェックで囲んで、最初に開始します。

あなたはおそらく急いでいるので、いくつかのreally古いASP私のVBScriptコードを見ることができます。安全なSQLステートメントの作成に役立つSafeSqlWhatever関数がたくさんあります。保証はありません。公開することは意図されていませんでした。ただし、すべての変数の入力をSqlVar（someValue）関数に置き換えますSqlVarが追加するため、クエリ文字列の残りの部分から一重引用符を削除する必要があります。または、期待する値のタイプに固有の関数を使用します。

前：

Conn.Execute("UPDATE posts SET Subject='" & subject & "' WHERE ID=" & id)

後：

Conn.Execute("UPDATE posts SET Subject=" & SafeSqlString(subject) & " WHERE ID=" & SafeSqlNumber(id))

PS：いいえ、これは本来あるべき姿ではありませんが、たぶん現在の場所から正常に動作するように戻すのが最も速いです。

クエリを追跡することに関する元の質問に答えようとする私は反対方向からそれを行うことを考えましたが、サーバーがリセットされていない場合は、クエリキャッシュからすべてのクエリをプルし、実行されたクエリを表示しますまだキャッシュにあります。

SELECT  ( SUBSTRING(s2.text, (statement_start_offset / 2) + 1, ((CASE WHEN statement_end_offset = -1 THEN (LEN(CONVERT(nvarchar(max),s2.text)) * 2) ELSE statement_end_offset END)- statement_start_offset)/2)) AS sql_statement
    ,execution_count
    ,(total_worker_time / 1000) as total_worker_time_milli_s
    ,(last_worker_time / 1000) as last_worker_time_milli_s
    ,((total_worker_time / execution_count) / 1000) as average_worker_time_milli_s
    ,min_worker_time
    ,max_worker_time
    ,last_execution_time
    ,qp.query_plan
FROM 
    sys.dm_exec_query_stats qs 
    CROSS APPLY sys.dm_exec_sql_text(sql_handle) AS s2  
    CROSS APPLY sys.dm_exec_query_plan(qs.plan_handle) as qp
WHERE
    s2.objectid is null
ORDER BY
    total_worker_time desc

ログを有効にしている場合、IISにはいくつかのログがあり、どのページにアクセスしたかに関するヒントが得られる場合があります。ウェブサイトの設定で確認できます。

最初に、アプリケーションのsqlユーザーがデフォルトで読み取りアクセスのみを持っていることを確認します。挿入/更新/削除のアクセス権が必要なテーブルのみに追加します。

データベースから.js参照を削除する必要がありますか？このスクリプトをしばらく使用して、すべてのテーブルのすべての.js参照を削除しました。 Isは、データベースのグローバルな検索/置換です。これが表示されている.js参照を入力します：PLACE BAD Java SCRIPT CODE HERE

DECLARE @T varchar(255),@C varchar(4000)   
DECLARE Table_Cursor1 CURSOR FOR select a.name,b.name from sysobjects a,syscolumns b where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167)   
OPEN Table_Cursor1
FETCH NEXT FROM Table_Cursor1 INTO @T,@C WHILE(@@FETCH_STATUS=0)    
BEGIN exec('SELECT [' + @C + '] FROM [' + @T + '] WHERE [' + @C  + '] LIKE ''%.js%'' ')
FETCH NEXT FROM Table_Cursor1 INTO @T,@C END   
CLOSE Table_Cursor1 DEALLOCATE Table_Cursor1    

DECLARE @T varchar(255),@C varchar(4000)    
DECLARE Table_Cursor CURSOR FOR select a.name,b.name from sysobjects a,syscolumns b where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167)    
OPEN Table_Cursor    
FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0)    
BEGIN exec('update ['+@T+'] set ['+@C+']=replace(['+@C+'],''PLACE BAD Java SCRIPT CODE HERE'','''')')     
FETCH NEXT FROM Table_Cursor INTO @T,@C END      
CLOSE Table_Cursor DEALLOCATE Table_Cursor

通常、ハッカー（多くの場合ボット）は、SQLインジェクション（クエリ文字列を検索するために「inurl：.aspx？」または「inurl :? id = "）。次に、インジェクションの脆弱性を自動的にテストします。エントリポイントを見つけたい場合は、同様のクエリをgoogleにフィードし、インデックスに登録されているクエリ文字列サイトを確認することをお勧めします。

次に進むと、これらのスクリプトは通常、実行中のスクリプトがsysobjectsにアクセスできることを望んでいます。これが発生した場合（おそらく、そうでない場合、インジェクションの脆弱性は単にインジェクトされたコードがある場所であると見なすことができます）、スクリプト全体を1回記述しました。これにより、データベース全体で特定の値を検索します。それはここにあります：

http://pastebay.com/28400

バックアップがない場合（これはやや絶望的な調子で想定しています）、そのスクリプトを使用して、挿入されたすべての列を見つけることができます。また、少し変更するだけで、これらの注入を取り除くこともできます。

環境を復元するためにこれだけです。その後、それが再び起こらないことを確認するタスクが続きます。あなたはthatに急いでいません、あなたが注射した人はおそらくランダムにあなたを襲い、すぐに再試行する可能性は低いですが、これから教訓を学び、それを優先課題にしますとにかく。

サイトのセキュリティ保護については、脆弱性の場所に関するヒントを取得するGoogleの方法については既に説明しましたが、実際には、SQLクエリを1つずつストアドプロシージャに移動するタスクに直面するときです。 、またはOR/M、または何か。それが終わったら、厄介なソースを片付けるのはかなり遠いでしょう。

脆弱性があることがわかっている場合は、Webアプリケーションファイアウォールを使用することを検討する必要があります。そうすることで、レガシーアプリケーションを書き換えたりチェックしたりせずに、アドホックでセキュリティを向上させることができます。

これは完全なソリューションではありませんが、特定の状況では、一度に大量のセキュリティの脆弱性を修正するための迅速な方法になります。

1. パニックにならないでください。
2. ウェブサイトをメンテナンスします。
3. 適用されたSQLインジェクションを逆にします。
4. h0leを修正します。
5. サイトをオンラインに戻します。

それが可能かどうかはわかりませんが、知識のある人が手助けする必要のある詳細を提供していません。

• データベースエンジンは何ですか？ （バージョン番号を含む）
• あなたのウェブサーバーは何ですか？ （おそらくIISですが、どのバージョンですか？）
• あなたのお気に入りは何ですか... nvm

しかし、スタックの特定のアプリケーションとバージョン番号は、これを誰かが答えられるかもしれない質問に変えます。

この情報を提供できる標準SQLには何もないため、特定のベンダーの拡張機能や管理ツールを探しています。

これは難しい問題です。攻撃が何で、何が行われたかを理解するために、SQLではなくIISログを調べます。攻撃によっては、IISログには、sql-injectionが正確に何であるかが示される場合があります。

そうでない場合は、すぐにIISロギング（およびSQLロギング、およびその他のロギング）をできる限り高くします。攻撃者は依然として攻撃を続けている可能性があり、追跡する必要があります。彼が何をしているか、そしてできるだけ早く彼のアクセスポイントを遮断し始めます。

幸運を！

サイトを停止して、もう一度1つずつ作業を開始してください。いったん妥協すると、システムに入るのは簡単です。

パートタイムのソリューションは、将来的に事態を悪化させます。

また、このハッカーがDB内のすべてのデータのコピーを持っていると想定する必要もあります。個人情報が含まれている場合は、関係者に通知する必要があります。